L’IA dans tous ses états
Veille Juridique n°52 – Octobre 2022
Le 17 octobre 2022, la CNIL a confirmé, en sanctionnant la société Clearview AI à hauteur de 20 millions d’euros, sa compétence de régulateur dans le domaine de l’intelligence artificielle.
Cette sanction fait suite à une mise en demeure restée sans réponse, et à l’absence de coopération de la société pendant la procédure de contrôle.
Prise à l’issue d’une procédure de concertation au niveau européen, elle rejoint les sanctions prononcées par plusieurs de ses homologues contre cette même société.
- La CNIL relève l’absence de base légale pour la collecte systématique et généralisée de vingt milliards d’images de visages publiquement accessibles sur des millions de sites web, images commercialisées par la société notamment aux forces de l’ordre.
- La CNIL considère que, compte tenu de son caractère particulièrement intrusif et du caractère biométrique des données, la collecte aurait dû être soumise au consentement préalable des intéressés.
- Elle relève également que la société ne respecte pas les droits d’accès et de suppression des personnes concernées.
Cette décision intervient dans un contexte d’encadrement de plus en plus précis de l’intelligence artificielle au niveau national et international.
Le Conseil d’État a ainsi adopté deux documents à la fin de l’été dans lesquels il se prononce sur la gouvernance du futur règlement européen sur l’IA:
Dans son document du 30 août 2022, le Conseil d’État aborde la question de la qualité du service public et pose les bases d’une stratégie française pour l’IA.
Il encourage entre autres à renforcer les pouvoirs de la CNIL et à la rendre formellement responsable de la régulation des systèmes d’IA.
Il préconise ainsi une transformation de la CNIL, qui deviendrait « l’autorité de contrôle nationale responsable de la régulation des systèmes d’IA, notamment publics, pour incarner et internaliser le double enjeu de la protection des droits et libertés fondamentaux, d’une part, et de l’innovation et de la performance publique, d’autre part. »
Le 27 septembre, le Conseil d’Etat a également publié une étude concernant l’encadrement des réseaux sociaux dans le contexte du développement de l’IA, dans laquelle il formule 17 recommandations pour rééquilibrer les forces en faveur des utilisateurs, armer la puissance publique dans son rôle de régulateur et penser les réseaux sociaux de demain.
De son côté, le Parlement se penche sur la question de la vidéosurveillance et de la reconnaissance faciale : une mission d’information a ainsi été lancée le 13 septembre par la commission des lois de l’Assemblée nationale, et confiée à Philippe Latombe, député et membre du collège de la CNIL.
Les parlementaires devront appréhender « les enjeux de l’utilisation d’images de sécurité dans le domaine public dans une finalité de lutte contre l’insécurité », et se pencher notamment sur la reconnaissance faciale.
Il s’agira de faire le bilan des dispositifs récemment autorisés comme les caméras-piétons et les drones, et de mener une réflexion sur les évolutions envisageables comme les caméras augmentées, pour aboutir à une proposition de texte législatif.
Mentionnons encore l’ouverture de négociations pour une convention du Conseil de l’Europe sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit.
Il s’agirait du premier instrument international juridiquement contraignant sur l’intelligence artificielle.
Cette convention viendrait compléter le règlement sur l’intelligence artificielle proposé par la Commission européenne, en renforçant la protection des droits fondamentaux des individus.
Le Contrôleur européen de la protection des données a salué cette initiative, tout en rappelant les systèmes d’IA qui, selon lui, posent des risques inacceptables et devraient être interdits, à savoir :
- Le scoring social,
- L’identification biométrique dans les espaces publics,
- La catégorisation des individus sur la base de données biométriques
- La catégorisation des individus en fonction de leurs émotions perçues.
Rappelons que le règlement sur l’IA proposé par la Commission européenne rejoint cette approche en interdisant les techniques d’IA les plus intrusives, telles que celles qui manipulent les individus ou permettent le scoring social.
De façon encore insuffisante pour les défenseurs des libertés, et excessive pour ses détracteurs.
Notons ainsi que les Etats-Unis auraient fait parvenir fin octobre à plusieurs capitales ainsi qu’à la Commission européenne un « non paper » visant à les convaincre de limiter le champ d’application de la future réglementation, et d’élargir ses exceptions afin de garder plus de flexibilité dans les possibles utilisations de l’intelligence artificielle.
Les Etats-Unis préparent d’ailleurs eux-mêmes une réglementation de l’IA : le 4 octobre dernier, le président Joe Biden a présenté l’« AI Bill of rights », qui décrit les cinq garanties dont les américains devraient bénéficier:
- Des systèmes sûrs et efficaces,
- Une protection contre la discrimination algorithmique,
- La confidentialité des données,
- Des notifications et explications quant au fonctionnement de l’IA,
- Des alternatives humaines aux décisions automatisées.
Notons enfin que les régulateurs de la protection des données de plus de 120 pays ont convenu d’un cadre pour l’utilisation de la reconnaissance faciale lors de la 44ème Assemblée mondiale sur la protection de la vie privée qui s’est tenue à Istanbul fin octobre.
La résolution requiert que l’entité qui utilise la technologie
- Établisse « son caractère raisonnable, nécessaire et proportionnel »,
- Évalue le respect des droits des individus
- Garantisse une utilisation transparente de la technologie.
Des mécanismes de responsabilité clairs et efficaces doivent également être mis en place.
Et aussi
France :
Cybercriminalité : le ministre délégué au numérique et le ministre de la Santé ont annoncé une enveloppe de 20 millions d’euros au bénéfice de l’ANSSI afin de renforcer l’accompagnement des établissements de santé, victimes de rançongiciels.
La CNIL publie sur son site des ressources pédagogiques pour mieux protéger les enfants de 8 à 10 ans sur internet.
Ces ressources sont destinées aux parents, enfants, enseignants et éducateurs.
La CNIL a en outre mis à jour le 17 octobre sa recommandation concernant l’authentification par mot de passe.
Dans un contexte de menaces accrues concernant la sécurité en ligne, la CNIL développe notamment l’utilité des solutions d’authentification forte ou à plusieurs facteurs, et les certificats électroniques.
Europe :
Le Comité européen de la protection des données (EDPB) a adopté une version actualisée des lignes directrices concernant la notification des violations de données, ouverte à la consultation publique jusqu’au 29/11/2022.
La partie actualisée concerne la notification d’une violation de sécurité par un responsable établi en dehors l’Union européenne.
Le fait que ce responsable ait désigné un représentant dans un des pays de l’UE ne le dispense pas, selon l’EDPB, d’obligations étendues : le texte précise aujourd’hui que « la simple présence d’un représentant dans un État membre ne déclenche pas le guichet unique.
C’est la raison pour laquelle la violation devra être notifiée à chaque autorité pour laquelle les personnes concernées résident dans leur État membre. »
La Cour de justice de l’Union européenne a estimé dans un arrêt du 20 octobre que le traitement ultérieur consistant en la création, à partir d’une base de données existante, d’une base de données pour effectuer des tests et corriger des erreurs, est autorisé si
- il existe « un lien concret, logique et suffisamment étroit entre les objectifs de la collecte initiale et le traitement ultérieur » ; et
- le traitement ultérieur ne s’écarte pas des attentes légitimes des abonnés.
Dans l’affaire en question, la Cour a considéré qu’un tel lien étroit existe. Elle rappelle que les données doivent être supprimées une fois que la finalité (secondaire) du traitement a été satisfaite.
Dans un arrêt du 27 octobre concernant la société belge Proximus, la Cour se prononce sur les obligations des fournisseurs d’annuaires, lorsqu’un abonné retire son consentement au traitement de ses données.
La Cour considère que l’autorité de protection des données peut exiger d’un fournisseur d’annuaires téléphoniques accessibles au public, en tant que responsable du traitement, qu’il prenne les mesures appropriées pour informer les autres responsables de traitement des données (y compris le fournisseur du service de télécommunication à l’origine de la communication des données) du retrait du consentement de l’abonné.
Le règlement européen sur les marchés numériques (DMA) a été publié le 12 octobre 2022.
Ce texte, qui vise à « mettre fin aux pratiques déloyales des entreprises qui agissent en tant que « gatekeepers » dans l’économie des plateformes en ligne », s’appliquera à partir du 2 mai 2023.
Il définit les grandes plateformes en ligne qualifiées de « gardiennes » et établit une liste d’interdictions et d’obligations destinées à « garantir des marchés numériques équitables et ouverts ».
La proposition de règlement européen sur les abus sexuels concernant des enfants (CSAR) fait l’objet de nombreuses critiques de la société civile, et du lancement d’une campagne « stop scanning me ».
Selon les ONG concernées, la proposition malgré des objectifs louables menace de « compromettre fondamentalement la communication sécurisée en ligne et de rendre l’internet moins sûr pour tous ».
Les forces de l’ordre entendent utiliser le balayage automatique en ligne des communications privées pour s’attaquer aux contenus relatifs aux abus sexuels sur les enfants.
Or une enquête menée par le Conseil irlandais pour les libertés civiles (ICCL) révèle que la police irlandaise conserve les données personnelles – courriel, nom d’écran, adresse IP – même pour de fausses alertes.
L’énorme quantité de faux positifs – moins de 10 % des rapports seraient exploitables – pourrait en outre empêcher la police de s’attaquer au cœur du problème.
L’autorité italienne de protection des données ouvre une enquête sur une application qui génère des voix artificielles (« deep fake »).
L’autorité a ouvert une enquête contre l’appli Fakeyou, qui convertirait des fichiers texte en créant des voix imitant celles de personnalités connues, notamment italiennes.
En outre, l’autorité italienne de la protection des consommateurs a jugé qu’un panneau représentant une caméra stylisée était insuffisant pour informer sur l’utilisation des caméras de vidéosurveillance et a infligé une amende de 2 000 euros au responsable du traitement.
L’autorité irlandaise de protection des données met à disposition sur son site web une compilation de plus de 30 études de cas concrets qu’elle a eu à traiter, et qui ne figurent pas dans ses rapports annuels. La publication permet de mieux cerner l’approche de l’autorité sur des sujets tels que le contrôle des employés, la vidéosurveillance, les notions d’intérêt légitime ou encore la compatibilité des finalités de traitement.
La cour d’appel néerlandaise d’Arnhem-Leeuwarden a confirmé une injonction selon laquelle un organisme de contrôle des droits d’auteur ne pouvait pas obliger un fournisseur d’accès à Internet à transmettre des lettres d’avertissement à des contrevenants présumés au droit d’auteur : le fournisseur d’accès à Internet n’a en effet pas de base juridique pour traiter les données à caractère personnel relatives aux condamnations pénales et aux infractions.
L’autorité britannique de protection des données (ICO) communique sur les technologies biométriques telles que les technologies d’analyse des émotions, qui selon elle sont immatures et risquent d’entraîner des discriminations.
Parmi les risques pointés, la surveillance de la santé physique des travailleurs via des outils de dépistage portables, ou encore l’observation visuelle et comportementale, notamment de la position du corps, de la parole, des yeux et des mouvements de la tête, pour inscrire les étudiants aux examens.
L’ICO publie également un projet de lignes directrices sur la surveillance des employés.
La Commission pointe notamment la tendance croissante à « travailler à domicile » et le problème du contrôle de productivité alors que les attentes des travailleurs en matière de vie privée sont susceptibles d’être plus élevées à la maison que sur le lieu de travail.
L’ICO note aussi que « la surveillance de la frappe au clavier est classée comme une donnée biométrique comportementale lorsqu’un travailleur est identifiable en raison de sa manière et de son rythme de frappe uniques ». Le projet est ouvert à la consultation jusqu’au 11 janvier 2023.
International :
Transferts de données vers les Etats-Unis: une étape importante a été franchie le 7 octobre avec la signature par le président Biden de l’ « Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities ».
Ce décret vise à permettre la mise en œuvre d’un nouveau cadre de protection des données entre l’Union européenne et les États-Unis après l’arrêt Schrems II de la CJUE, qui a rendu caduc le Privacy Shield.
L’accord pourrait être finalisé début 2023, après notamment l’avis du Comité européen de protection des données (EDPB) et l’adoption d’une décision d’adéquation par la Commission européenne.
L’incertitude qui plane sur cet accord concerne l’étendue des pouvoirs de surveillance des autorités américaines et les recours des citoyens européens contre les mesures américaines prises à leur encontre.
Ajoutons que n’ayant pas valeur de loi, ce décret peut être révoqué, ce qui ajoute à l’insécurité juridique.